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Claim: 

* 1. Verfahren zum Personalisieren von Chipkarten bei dem der Name des 



Teilnehmers und ein zugehoriger individueller Schlussel in die 
Chipkarte abgespeichert werden und der Name des Teilnehmers in ein 
Register abgelegt wird, 
**dadurch gekennzeichnet,** dass in einem 

gesicherten Bereich (**i**) die Chipkarte (**2**) statt rait dem 
Namen des Teilnehmers (A) mit einer Pseudo- Indentitat (X) 
vorpersonalisiert wird und diese Pseudo- Indentitat (X) in dem 
Register (**3**) abgelegt wird und dass erst nach Verlassen der 
Chipkarte (**2**) des gesicherten Bereichs (**l**) in einer 
Kartenausgabestelle zur Selbstpersonalisierung die Pseudo-Identitat 
(X) mit dem Namen des Teilnehmers (A) uberschrieben wird und dass 
dieser Name uber eine gesicherte Kommunikationsverbindung zum 
gesicherten Bereich (**1**) der Pseudo-Identitat im Register 
(**3**) fest zugeordnet wird. 

Publication No. DE 3927270 C2 (Update 199632 E) 
Publication Date: 19960711 
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Application: DE 3927270 A 19890818 (Local application) 
Original IPC: G06K-19/073 (A) G06K-19/10 (B) 
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Claim: 

* 1. Verfahren zum Personalisieren von Chipkarten ( 
**2** ) , bei dem ein 

Teilnehmername (A) und ein individueller Schlussel (K) in die 
Chipkarten (**2**) abgespeichert werden und der Teilnehmername in 
einem gesicherten Bereich (**i**) in einem Register (**3**) 
abgelegt und die Chipkarten danach ausgeliefert werden, **dadurch 
gekennzeichnet, ** 

* - dass im gesicherten Bereich ( 
**1**) anstelle des Teilnehmernamens 

(A) ein Pseudoname (X) in die Chipkarte eingetragen wird, 

* - dass in einer Kartenausgabestelle ( 
**5**) vor der Kartenausgabe 

der Pseudoname (X) in der Chipkarte (**2**) mit dem 
Teilnehmernamen (A) uberschrieben wird, 

* - dass uber eine gegen Abhoren und Verandern von zu ubertragenden 

Daten gesicherte Kommunikationsverbindung ( 
**6**) zwischen der 

Kartenausgabestelle (**5**) und dem gesicherten Bereich (**i**) 
der Pseudoname (X) und der Teilnehmername (A) verschlusselt zum 
gesicherten Bereich (**i**) ubertragen werden, 

* - dass in einem Register ( 
**3**) des gesicherten Bereiches (**i**) 

der Teilnehmername (A) zum Pseudonamen (X) zugeordnet gespeichert 

* - dass nach einer Ruckmeldung vom gesicherten Bereich ( 
**1**) zur 

Kartenausgabestelle (**5**) dort die Ausgabe der personalisierten 
Chipkarte (**2**) erfolgt. 
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@ Verfahren zum Personalisieren von Chipkarten 

Bisher wurden Chipkarten nur innerhalb eines gesicherten 
Bereichs zentral personalisiert. Die durch den Versand der 
Karten aufkommenden Wartezeiten fur die Kunden sollen 
durch die Erf indung vermieden warden. 
GemaS der Erfindung warden die Chipkarten (2) in dem ge- 
sicherten Bereich (1) mit einer Pseudoidentitat (x) vorperso- 
nalisiert und nach Bedarf erst in den Kartenausgabestellen 
mit dem Namen des Teilnehmers (A) versehen (endpersona- 
lisiert). Die Endpersonalisierung wird von einer berechtigten 
Person durchgef uhrt und die Daten dem gesicherten Bereich 
iibereine gesicherte Kommunikationsverbindung mitgeteilt. 
Diese Personalisierungsprozedur ist bei alien Chipkarten- 
anwendungsbereichen verwendbar. 
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Beschreibung 



Die Erfindung betrifft ein Verfahren zum Personali- 
sieren von Chipkarten. 

Es ist aus der Zeitschrift Telecom report 12 (1989), 
Heft 1 -2, S. 56 bis 58 bereits ein Stand der Technik 
bekannt, gemaB dem die Personalisierung von Chipkar- 
ten zentral in einer gesicherten Umgebung erfolgt. Bei 
diesem Vorgang werden bereits die endgultigen Perso- 
nalisierungsdaten in den Chip der Karte eingeschrieben. 

Die Freigabe der Chipkarte erfolgt spater durch Ein- 
gabe der persdnlichen Identifikationsnummer (PIN) 
durch den Benutzer. 

Nachteilig bei diesem Stand der Technik ist, daB be- 



karte 2 eingeschrieben wird. Diese Pseudo-ldentitat X 
wird in einem Register 3 abgelegt, Nach dieser Vorper- 
sonalisierung kann die Chipkarte 2 den gesicherten Be- 
reich 1 verlassen und in Bankfilialen oder Postamter 
5 bevorratet werden. 

Beantragt ein zukunftiger Teilnehmer eine Chipkarte, 
so wird in der Filiale oder dem Amt als Selbstpersonali- 
sierer die Pseudo-ldentitat X mit dem Namen des Teil- 
nehmers A uberschrieben und dieser Teilnehmername 
io iiber eine gesicherte Kommunikationsverbindung zum 
gesicherten Bereich 1 in dem Register 3 der Pseudo- 
ldentitat X eindeutig zugeordnet. 

Die Fig. 3 zeigt den Vorgang der Vorpersonalisierung 
unter Verwendung eines zusatzlichen symmetrischen 



ts beim zentralen Personalisieren die vollstandigen 15 Transportschlussels 1 der mit dem individuellen(symme- 



Daten des spateren Benutzers vorliegen mussen. 

Aufgabe der Erfindung ist es, den Personalisierungs- 
vorgang dezentral durchfiihren zu konnen ohne eine 
Verringerung des hohen Sicherheitsstandards in Kauf 
nehmen zu mussen. 

Diese Aufgabe wird durch den kennzeichnenden Teil 
des Hauptanspruches gelost. 

Vorteilhafte Ausgestaltungen der Erfindung sind in 
den Unteranspriichen naher aufgefuhrt. 



trischen) Schlussel K und der Pseudo-ldentitat X inner- 
haib des gesicherten Bereichs 1 in die Chipkarte 2 einge- 
geben wird. 

Dieser Transportschliissel t wird fur die gesicherte 
Kommunikation wahrend des Selbstpersonalisierungs- 
vorgangs zwischen der Kartenausgabestelle und dem 
gesicherten Bereich (in Fig. 2) benotigt. 

Die in Fig. 4 gezeigte Selbstpersonalisierung in der 
Kartenausgabestelle lauft in folgenden Schritten ab: 



Ein Vorteil der Erfindung besteht darin, daB nach dem 25 Der Teilnehmer gibt seinen Namen A iiber em Terminal 
erfindungsgemaBen Verfahren vorpersonalisierte Chip- 5 ein. Eine berechtigte Person, wie z. B. em Bankange- 
karten bei Antragstellung eines zukunftigen Benutzers stellter oder ein Postbeamter als Personahsierer leitet 
diese Karten dezentral in einer ungeschiitzten Umge- den Selbstpersonalisierungsvorgang durch die Eingabe 
bung selbstpersonalisiert und sofort an diesen Benutzer seiner eigenen Berechtigungskarte 4 ein. Diese Berech- 
ausgegeben werden konnen und somit gegeniiber dem 30 tigungskarte 4 berechnet anschlieBend aus dem Namen 
Verfahren gemaB dem Stand der Technik unumgangli- des Teilnehmers A, der in der Berechtigungskarte 4 ab- 
che Wartezeiten entfallen. gespeicherten Kennung pi und den ebenfalls abgespei- 

Nebenbei kann vorteilhaft eine bereits vorhandene cherten Namen Pi des Personalisierers eine Berecnti- 
Infrastruktur, wie z. B. Bankfilialen, Postamter usw. bei gungskennung pi(A, Pi), die an die vorpersonalisierte 
der Abwicklung des Verfahrens gemaB der Erfindung 35 Chipkarte 2 mit dem zusatzlich eingegebenen Namen 
voll einbezogen werden. des Personalisierers Pi weitergeleitet wird. 

Weiterhin ist von Vorteil, daB bei dem endgultigen Innerhaib der Chipkarte 2 wird aus dem Namen des 
Personalisierungsvorgang keine geheimen Daten die Personalisierers Pi, dem Namen des Teilnehmers A, der 
Chipkarte verlassen, genausowenig geheime oder sensi- Pseudo-ldentitat X, der aktuellen Zeit h, und der Be- 
- - ■ ■ • ■ 40 rechtigungskennung pi (A, Pi) mittels des Transport- 

schlussels t eine erste Datenfolge t(Pi, A, X, h, pi(A, Pi)) 
errechnet, die dem gesicherten Bereich 1 ubermittelt 

Im gesicherten Bereich 1 sind der Transportschliissel 
45 t, der Name der Personalisierers Pi, die Kennung des 
Personalisierers pi und die Pseudo-ldentitat X der Chip- 
karte 2 bekannt. Somit kann aus dieser ersten Datenfol- 
ge der Name des Teilnehmers A und zusatzlich zum 
Vergleich mit den hier bekannten Daten der Name des 



ble Daten in die Karte geschrieben werden. 

Beispiele der Erfindung werden anhand der Zeich- 
nung naher erlautert. 

Es zeigt die Fig. 1 den Stand der Technik der Perso- 
nalisierung, die Fig. 2 das Grundprinzip der Vorperso- 
nalisierung, die Fig. 3 die Vorpersonalisierung mit ei- 
nem zusatzlichen symmetrischen Transportschliissel 
und die Fig. 4 die endgiiltige Personalisierung (Selbst- 
personalisierung) einer Chipkarte. 

Wie Fig. 1 zeigt, werden nach der individuellen Er- 



zeugung eines symmetn: 

dem Eingang der Identitatsdaten eines am Chipkarten- 
verfahren zukunftig teilnehmenden Kunden dessen indi- 
vidueller Schlussel K und der Name der Teilnehmer 
(Kunden) A in eine frete Chipkarte 2 beim Personalisie- 
rungsvorgang eingeschrieben. Gleichzeitig wird in ei- 
nem Register 3 der Name des Teilnehmers A als Zu- 
gangsberechtigung abgelegt. 



ischen Schliissels K und nach 50 Personalisierers Pi und die Pseudo-ldentitat X errech- 



/erden. Durch einen weiteren Rechenvorgang wird 
auch die Berechtigungskennung pi(A, Pi) neu erzeugt 
und iiberpruft. Sind die Priifungsergebnisse positiv, so 
wird mittels des Transportschlussels t aus der Berechti- 
55 gungskennung pi(A, Pi) und der Pseudo-ldentitat X eine 
zweite Datenfolge t(pl(A, Pi), X) erzeugt und als Bestati- 
gung dem Terminal 5 der Kartenausgabestelle und so- 
Dlese Vorgange finden zentral in einem gesicherten mit auch der dort befindlichen Chipkarte 2 ubermittelt 
Bereich 1 statt. Erst nach der vollstandigen und endgul- Gleichzeitig wird in dem Register der Name des Teil- 
tigen Personalisierung kann die Chipkarte 2 diesen gesi- eo nehmers A der Pseudo-ldentitat X fest zugeordnet. 
cherten Bereich 1 verlassen und der Versand der Karte Innerhaib der Chipkarte 2 wird abermals die Berech- 
an den Teilnehmer erfoigen. tigungskennung pi(A, Pi) errechnet und m.t der dort 

Von diesem Stand der Technik unterscheidet sich das noch gespeicherten Kennung verghchen. Ist dieser Pru- 
erfindungsgemaBe, in Fig. 2 prinzipiell gezeigte Verfah- fungsvorgang abgeschlossen, so tauscht die Chipkarte 
ren der Vorpersonalisierung dadurch, daB die Identitats- 6 5 die Pseudo-ldentitat X mit dem Namen des Teilnehmers 
daten des zukunftigen Teilnehmers noch nicht bekannt A und loscht den Transportschliissel t und die Berechti- 
sind und stattdessen eine Pseudo-ldentitat X erzeugt gungskennung pi(A, Pi). In der Chipkarte 2 sind also 
wird, die mit dem zugehorigen Schlussel K in die Chip- nach der erfolgten Selbstpersonalisierung nur noch der 
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Name des Teilnehmers A und der zugehorige individu- 
elle Schliissel K abgespeichert und die Karte kann dem 
Teilnehmer ausgehandigt werden. 

Vorzugsweise ist die Berechtigungskennung pi(A, Pi) 
eine Einwegfunktion, welche die geheime Kennung pi 5 
des Personalisierers beinhaltet. Der Name des Persona- 
lisiers Pi kann auch als Codewort in der Berechtigungs- 
karte 4 abgespeichert und/oder in die Chipkarte einge- 
geben werden. 

Wird statt eines symmetrischen Chiffrierverfahrens io 
mit einem individuelten Schliissel ein asymmetrisches 
Verfahren gewahlt, bei dem ein geheimer und ein 6f- 
fentlicher Schliissel als komplementares Paar verwen- 
det wird, so werden bereits bei der Vorpersonalisierung 
beide Schliissel in die Chipkarte abgespeichert und wah- 15 
rend Oder nach der Selbstpersonalisierung nicht ge- 
loscht. Ansonsten unterscheidet sich diese Variante 
nicht von dem Verfahren mit einem symmetrischen 
Schliissel. 

Patentanspriiche 

1. Verfahren zum Personalisieren von Chipkarten 
bei dem der Name des Teilnehmers und ein zuge- 
horiger individueller Schliissel in die Chipkarte ab- 25 
gespeichert werden und der Name des Teilnehmers 

in ein Register abgelegt wird, dadurch gekenn- 
zeichnet, daB in einem gesicherten Bereich (1) die 
Chipkarte (2) statt mit dem Namen des Teilneh- 
mers (A) mit einer Pseudo-Indentitat (X) vorperso- 30 
nalisiert wird und diese Pseudo-Indentitat (X) in 
dem Register (3) abgelegt wird und daB erst nach 
Verlassen der Chipkarte (2) des gesicherten Be- 
reichs (1) in einer Kartenausgabestelle zur Selbst- 
personalisierung die Pseudo-Identitat (X) mit dem 35 
Namen des Teilnehmers (A) iiberschrieben wird 
und daB dieser Name iiber eine gesicherte Kommu- 
nikationsverbindung zum gesicherten Bereich (1) 
der Pseudo-Identitat im Register (3) fest zugeord- 
net wird. 40 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB wahrend der Vorpersonalisierung zu- 
satzlich ein Transportschlussel (t) fur die Kommu- 
nikationsverbindung in die Chipkarte (2) eingege- 
ben wird und daB dieser Transportschlussel (t) nach 45 
der Selbstpersonalisierung geloscht wird. 

3. Verfahren nach Anspruch 2, dadurch gekenn- 
zeichnet, daB mittels einer Berechtigungskarte (4) 
eines zugelassenen Personalisierers in der Karten- 
ausgabestelle aus dem Transportschlussel (t), dem 50 
Namen des Personalisierers (Pi), dem Namen des 
Teilnehmers (A), der Pseudo-Identitat (X), der ak- 
tuellen Zeit (h) und einer, aus einer geheimen Ken- 
nung des Personalisierers (pi), dem Namen des Teil- 
nehmers (A) und dem Namen des Personalisierers 55 
(Pi) errechneten Berechtigungskennung (pi(A, Pi)) 
eine erste Datenfolge als Kommunikationsverbin- 
dung errechnet wird, aus der im gesicherten Be- 
reich (1) der Name des Teilnehmers (A) riickge- 
rechnet wird. 60 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB aus dem Transportschlussel (t), der 
Berechtigungskennung (pi(Pi, A) und der Pseudo- 
Identitat (X) innerhalb des gesicherten Bereichs (1) 
eine zweite Datenfolge errechnet wird und als Teil 65 
der Kommunikationsverbindung der Kartenausga- 
bestelle zugeht und dort der Oberpriifung der ge- 
samten Kommunikationsverbindung auf Obertra- 
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gungsfehler dient. 

5. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der individuelle Schliissel (K) ein 
asymmetricher Schliissel, bestehend aus einem ge- 
heimen und einem offentlichen Schliissel ist. 
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